Известный ИБ-журналист Брайан Кребс сообщил о том, сотрудники доменного регистратора GoDaddy стали жертвой атак с применением социальной инженерии и в результате передали злоумышленникам контроль над доменами нескольких криптовалютных проектов.
По данным Кребса, атаки начались в середине ноября текущего года. Первыми о проблеме сообщили сотрудники криптовалютной биржи liquid.com:
«GoDaddy, который управляет одним из наших основных доменных имен, ошибочно передал контроль над нашей учетной записью и доменом злоумышленнику. Это дало атакующему возможность изменять записи DNS и контролировать ряд внутренних учетных записей электронной почты. Со временем злоумышленник смог частично скомпрометировать нашу инфраструктуру и получить доступ к хранилищу документов», — гласит сообщение в блоге компании.
Затем аналогичную проблему обнаружили в компании NiceHash. Настройки домена компании в GoDaddy оказались изменены, что привело к тому, что трафик и электронная почта временно были перенаправлены в другое место. NiceHash была вынуждена заморозить все средства клиентов примерно на 24 часа, пока настройки домена не были возвращены к исходным.
Кребс пишет, почтовая служба NiceHash была перенаправлена на privateemail.com, почтовую платформу, управляемую другим крупным регистратором, Namecheap Inc. Используя Farsight Security, службу, которая отображает изменения в записях доменных имен, Кребс выяснил, что несколько других криптовалютных платформ тоже могли стать жертвами той же преступной группы. Так, от аналогичных атак похоже пострадали: Bibox.com, Celsius.network и Wirex.app. Ни одна из этих компаний не заявляла о каких-либо инцидентах.
Основатель NiceHash писал, что несанкционированные изменения были произведены с интернет-адреса GoDaddy, и злоумышленники пытались использовать полученный доступ к входящим электронным письмам NiceHash для сброса паролей в различных сторонних сервисах, включая Slack и Github. Впрочем, в заявлении компании подчеркивается, что хакеры не получили доступа ни к одному важному сервису и не похитили никакой информации.
При этом оперативно связаться с GoDaddy не удавалось, потому как именно тогда в работе регистратора произошел серьезный сбой, из-за которого электронная почта и телефоны не отвечали.
К сожалению, представители GoDaddy уже подтвердили, что несколько их сотрудников действительно пали жертвами социальной инженерии. Точное количество скомпрометированных сотрудников не разглашается. В GoDaddy сообщили, что аудит безопасности выявил несанкционированные изменения, внесенные в некоторые учетные записи клиентов компании.
«Мы немедленно заблокировали учетные записи, участвовавшие в этом инциденте, отменили все внесенные изменения, и помогли пострадавшим клиентам восстановить доступ к своим аккаунтам»,— говорится в заявлении GoDaddy.
